InfoQ Geekathon 大模型技术应用创新大赛 了解详情
写点什么

研究发现,近一半生产容器存在漏洞

  • 2019-01-08
  • 本文字数:1074 字

    阅读完需:约 4 分钟

研究发现,近一半生产容器存在漏洞

企业在生产中部署的容器越来越多,但却忽略了安全问题…


近日,Dimensional Research for Tripwire 公布了一项 IT 安全专业人士调查报告,数据显示几乎一半企业遇到容器安全问题。在接受调查的 269 名 IT 专业人员中,46%不知道容器是否安全;47%承认容器在生产中存在漏洞。 总体而言,60%的受访者表示企业在过去一年经历过容器安全事故。


早前,绿盟研究人员就拉取过 Docker Hub 上公开热门的前十页镜像,使用 Docker 镜像安全扫描工具 Clair 进行 CVE 扫描统计,最终发现只有 24%的镜像不存在漏洞,67%的镜像甚至包含高危漏洞。


舆论层面,不少人认为容器最终会取代虚拟机,但其与虚拟机相比,最大的劣势之一就是安全问题,这也几乎体现在所有与容器相关的文章中,但似乎并没有引起企业的足够重视。容器相当于彼此隔离的进程,可以直接访问重要的命名空间,比如主机名、网络和共享内存。当然,这一点可以通过控制 root 用户有所缓解,但始终是个问题。


本次研究发现,94%的受访者承认担心容器安全问题,但苦于团队成员的容器安全知识不足,对容器和映像的安全状态可见性有限,以及在部署之前无法评估容器镜像中的风险。


国内,关于新兴技术的大部分研发人才集中在中大型互联网公司,尤其是顶尖技术人才。虽然这些公司占据着各个领域的大部分市场份额,但这类型的企业毕竟是少数。中小型企业由于薪水、平台、知名度等各种原因难以招收到专业人才,这也让其在容器安全方面心有余而力不足。


如今,容器越来越多地被部署到企业以支持 DevOps。根据 Tripwire 研究,超过 30%的受访者表示在生产环境中部署 10 到 100 个容器,19%的受访者表示生产环境中有 100 到 500 个容器。Tripwire 的产品经理和战略副总裁 Tim Erlin 表示,随着容器部署的增长和采用增加,企业正面临加快部署造成的压力。为了满足需求,团队只好暂时接受不保护容器带来的风险。


根据这项研究,大多数企业正在经历容器安全事故。正如 Computer Weekly 之前报道的那样,在生产中部署容器的企业也在部署漏洞扫描程序,以确保容器镜像不会受到损害。比如,使用流行的开源工具扫描容器镜像以查找已知漏洞。


除此之外,也有不少企业选择在云平台之上运行容器,这种情况下,一旦发生安全事故,企业和云供应商基本会采取责任共享机制,云供应商负责基础设施和管理云的安全性。客户负责保护在云中运行的所有内容,拥有对所有数据、应用程序和操作系统的完全所有权和控制权,因此这类企业同样需要注意容器安全问题。


参考文章:


https://www.computerweekly.com/news/252455307/Almost-half-of-containers-in-production-have-vulnerabilities-study-finds


活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2019-01-08 08:106856
用户头像
赵钰莹 InfoQ 主编

发布了 846 篇内容, 共 558.6 次阅读, 收获喜欢 2639 次。

关注

评论

发布
暂无评论
发现更多内容

对话网心科技李浩|携“边缘云+AI”之势,拓展算力业务场景落地

网心科技

HarmonyOS课程体验官招募(第四期),寻找乐于分享,精益求精的伙伴

HarmonyOS开发者

HarmonyOS

NFTScan 正式上线 Linea NFTScan 浏览器和 NFT API 数据服务

NFT Research

NFT\ NFTScan Linea

软件测试/测试开发丨学习笔记之 Python 函数

测试人

Python 程序员 软件测试 函数

「硬核」实操如何拥有一个自己的数字人模型

EquatorCoco

人工智能 AI 虚拟数字人

一文读懂React中的RSC是什么?

汽车之家客户端前端团队

活动回顾丨阿里云 Serverless 技术实战与创新广州站回放& PPT 下载

阿里巴巴云原生

阿里云 Serverless 云原生

云原生微服务应用的平台工程实践

阿里巴巴云原生

阿里云 云原生

开发者评价:Serverless 容器最值得推荐的能力是什么?

阿里巴巴云原生

阿里云 Serverless 容器 云原生

基于 Orbit 的云原生应用交付基础原则与良好实践

CODING DevOps

情景规划与财务建模,运行全面预算管理的新机制

智达方通

智达方通 全面预算管理 企业财务计划与分析 财务建模

铜锁 SM2 算法性能优化实践(一)|综述

铜锁开源密码库

密码学 隐私保护 数据安全 密码学和算法 国密

业务开发“银弹” ——低代码平台建设

互联网工科生

软件开发 低代码 业务开发

赛桨PaddleScience v1.0正式版发布,飞桨科学计算能力全面升级!

飞桨PaddlePaddle

人工智能 百度 paddle AI 飞桨

为什么低代码只能掀起小浪花?了解低代码的得失与前景

这我可不懂

软件开发 低代码 JNPF

RLHF如何赋能生成式AI

澳鹏Appen

大模型训练 大模型 生成式AI LLM RLHF

什么是从人类反馈中强化学习(RLHF)?

这我可不懂

ChatGPT LLM RLHF

广州市番禺区委领导一行莅临和鲸科技考察交流

ModelWhale

人工智能 数据科学 产业创新 人才生态

PCB反复评审难题,终极解决办法有了?

华秋PCB

工具 PCB PCB设计 布线 器件选型

用微服务架构推进企业数字化转型升级

力软低代码开发平台

和鲸科技受邀参与 2023 中国大学生计算机设计大赛国赛评审

ModelWhale

人工智能 大数据 数据分析 高等教育 以赛促学

用Vue如何实现低代码开发平台?

高端章鱼哥

低代码 低代码开发 JNPF

用极限网关实现 ES 容灾,简单!

极限实验室

ES 容灾 网关 功能测试

没有人能真正精通C++

互联网工科生

c++ 语言

中台,真的是一场自欺欺人的骗局吗?

EquatorCoco

中台 中台架构

解码 LangChain|用 LangChain 和 Milvus 从零搭建 LLM 应用

Zilliz

Milvus Zilliz AIGC langchain

阿里云斩获 4 项年度云原生优秀案例丨阿里云云原生 6 月动态

阿里巴巴云原生

阿里云 云原生

人工智能驱动科学研究:ModelWhale 助力医疗领域科研范式改革

ModelWhale

人工智能 数据分析 数字化医疗 模型推理 AI for Science

上海市静安区财政局领导带队调研合合信息,政企共话科技创新

合合技术团队

文字识别 合合信息 商业大数据

十分钟让你了解 Linux ABI

高端章鱼哥

Linux

我用ChatGPT润色的课题论文初体验|社区征文

爱技术的药学生

AI 论文写作 GPT 年中技术盘点

  • 扫码添加小助手
    领取最新资料包
研究发现,近一半生产容器存在漏洞_服务革新_赵钰莹_InfoQ精选文章